WKLD.02 Beschränken Sie den Umfang der Nutzung von Anmeldeinformationen mit ressourcenbasierten Policy-Berechtigungen - AWS Präskriptive Leitlinien

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

WKLD.02 Beschränken Sie den Umfang der Nutzung von Anmeldeinformationen mit ressourcenbasierten Policy-Berechtigungen

Richtlinien sind Objekte, mit denen Berechtigungen definiert oder Zugriffsbedingungen festgelegt werden können. Es gibt zwei primäre Typen von Richtlinien:

  • Identitätsbasierte Richtlinien sind den Prinzipalen zugeordnet und definieren, welche Berechtigungen der Prinzipal in der Umgebung hat. AWS

  • Ressourcenbasierte Richtlinien werden mit einer Ressource verknüpft, z. B. einem Amazon Simple Storage Service (Amazon S3) -Bucket oder einem Virtual Private Cloud (VPC) -Endpunkt. Diese Richtlinien legen fest, welchen Prinzipalen der Zugriff gewährt wird, welche Aktionen unterstützt werden und welche anderen Bedingungen erfüllt sein müssen.

Damit einem Prinzipal Zugriff gewährt werden kann, um eine Aktion gegen eine Ressource durchzuführen, muss er in seiner identitätsbasierten Richtlinie über eine entsprechende Genehmigung verfügen und die Bedingungen der ressourcenbasierten Richtlinie erfüllen. Weitere Informationen finden Sie unter Identitätsbasierte Richtlinien und ressourcenbasierte Richtlinien (Dokumentation). IAM

Zu den empfohlenen Bedingungen für ressourcenbasierte Richtlinien gehören:

  • Beschränken Sie mithilfe der Bedingung den Zugriff nur auf Hauptbenutzer in einer bestimmten Organisation (definiert in AWS Organizations). aws:PrincipalOrgID

  • Beschränken Sie den Zugriff auf Datenverkehr, der von einem bestimmten VPC Endpunkt VPC oder einem bestimmten Endpunkt stammt, indem Sie jeweils die aws:SourceVpce Bedingung aws:SourceVpc oder verwenden.

  • Zulassen oder Ablehnen von Datenverkehr auf der Grundlage der Quell-IP-Adresse mit einer aws:SourceIp-Bedingung.

Das Folgende ist ein Beispiel für eine ressourcenbasierte Richtlinie, mit der aws:PrincipalOrgID-Bedingung, dass nur Prinzipalen in der <o-xxxxxxxxxxx>-Organisation den Zugriff auf <bucket-name>-S3-Buckets gewährt:

{ "Version":"2012-10-17", "Statement":[ { "Sid":"AllowFromOrganization", "Effect":"Allow", "Principal":"*", "Action":"s3:*", "Resource":"arn:aws:s3:::<bucket-name>/*", "Condition": { "StringEquals": {"aws:PrincipalOrgID":"<o-xxxxxxxxxxx>"} } } ] }